9 meilleurs outils logiciels IPS pour 2022 et guide
Systèmes de prévention des intrusions, aussi connu sous le nomIPS, offrez une protection continue des données et des ressources informatiques de votre entreprise. Ces systèmes de sécurité fonctionnent au sein de l'organisation et compensent les angles morts des mesures de sécurité traditionnelles mises en œuvre par pare-feu et les systèmes antivirus.
Protéger les limites de votre réseau empêchera un grand nombre d’attaques de pirates. L'installation de pare-feux et d'antivirus est toujours importante. Ces mesures de protection sont devenues très efficaces pour empêcher les codes malveillants de pénétrer sur un réseau. Cependant, ils ont connu un tel succès queles pirates ont trouvé d’autres moyens d’accéder à l’infrastructure informatique d’une entreprise.
Voici notre liste des meilleurs outils IPS :
- Surveillance des menaces en temps réel Datadog CHOIX DE L'ÉDITEURUne combinaison de surveillance du réseau basée sur le cloud et d'un système SIEM qui fonctionnent ensemble pour surveiller les performances du réseau tout en repérant les comportements anormaux qui pourraient indiquer une menace interne ou un intrus. Démarrez un essai gratuit de 14 jours.
- Gestionnaire d'événements de sécurité SolarWinds (ESSAI GRATUIT)Ce puissant outil de sécurité utilise des méthodes de détection d'intrusion basées sur le réseau et sur l'hôte et prend des mesures préventives. Les préréglages préinstallés vous permettront d’être opérationnel en un rien de temps. S'installe sur Windows Server ou via le cloud. Démarrez un essai gratuit de 30 jours.
- CrowdStrike Falcon XDR (ESSAI GRATUIT) Ce package de sécurité offre une détection des menaces et des réponses automatisées. Il s'agit d'un système basé sur le cloud avec des agents basés sur les appareils. Démarrez un essai gratuit de 15 jours.
- SplunkOutils d’analyse de réseau largement utilisés dotés de fonctionnalités de prévention des intrusions. Disponible pour Windows, Linux et dans le Cloud.
- SaganSystème gratuit de prévention des intrusions qui extrait les fichiers journaux des données d'événements. S'installe sur Unix, Linux et Mac OS, mais peut collecter les messages de journal des systèmes Windows.
- OSSECLa sécurité Open Source HIDS est hautement respectée et gratuite à utiliser. Fonctionne sous Windows, Linux, Mac OS et Unix, mais n'inclut pas d'interface utilisateur.
- Ouvrir WIPS-NGUtilitaire de ligne de commande open source pour Linux qui détecte les intrusions sur les réseaux sans fil.
- Échec2BanIPS léger et gratuit qui s'exécute sur la ligne de commande et est disponible pour Linux, Unix et Mac OS.
- êtreSystème de détection d'intrusion basé sur le réseau qui fonctionne sur des données de trafic en direct. Cet outil s'installe sur Linux, Unix et Mac OS et est gratuit.
Faiblesses de sécurité
Tout système n’est aussi fort que son maillon le plus faible. Dans la plupart des stratégies de sécurité informatique,la faiblesse réside dans l'élément humain du système. Vous pouvez imposer l'authentification des utilisateurs avec des mots de passe forts, mais si les utilisateurs écrivent leurs mots de passe et conservent la note à proximité d'un appareil ayant accès au réseau, vous pourriez aussi bien ne pas prendre la peine d'appliquer l'authentification des utilisateurs.
Il existe de nombreuses façons pour les pirates de cibler les employés d'une entreprise et de les inciter à divulguer leurs informations de connexion.
Hameçonnage
Hameçonnage est devenu courant. Tout le monde a appris à se méfier des emails d’avertissement des banques ou des plateformes de trading comme eBay, PayPal ou Amazon. Une campagne de phishing impliqueune fausse page Web d'un service en ligne. Le hacker envoie des emails en masse à tous les emails d’une liste achetée sur internet. Peu importe que toutes ces adresses e-mail appartiennent à des clients du service imité. Tant que certaines des personnes touchées ont des comptes sur le site Web trompé, le pirate informatique a une chance.
Dans les tentatives de phishing,la victime reçoit un lien dans un e-mailcela mène à une fausse page de connexion qui ressemble à l’écran de saisie habituel du service imité. Lorsque la victime tente de se connecter, ce nom d’utilisateur et ce mot de passe sont enregistrés dans la base de données du pirate informatique et le compte est compromis sans que l’utilisateur ne réalise ce qui s’est passé.
Hameçonnage
Les pirates ciblent les employés de l'entreprise avec des escroqueries par phishing. Ils pratiquent également hameçonnage , qui est un peu plus sophistiqué que le phishing. Avec le spear phishing, le faux e-mail et la page de connexion seront spécialement conçus pour ressembler au site de l'entreprise piratée et les e-mails seront spécifiquement destinés aux employés de l'entreprise. Les tentatives de spear phishing sont souvent utilisées comme première phase d’une tentative d’effraction. La première étape d’un hack consiste à apprendre des détails sur certains employés d’une entreprise.
Doxxing
Les informations recueillies lors de la phase de spear phishing peuvent être combinées à des recherches sur des individus en examinant leurs pages de réseaux sociaux ou en parcourant les détails de leur carrière. Cette recherche ciblée s’appelle doxxing . Grâce aux informations glanées, un pirate informatique ciblé peut établir des profils d’acteurs clés d’une entreprise et cartographier les relations de ces personnes avec les autres membres du personnel de l’entreprise.
Le doxxer visera à obtenir suffisamment d'informations pour réussir à imiter un employé.. Avec cette identité, il peut gagner la confiance des autres dans l’entreprise ciblée. Grâce à ces astuces, le pirate informatique peut connaître les mouvements du personnel comptable de l’entreprise, de ses dirigeants et de son personnel d’assistance informatique.
Pêche à la baleine
Une fois que le pirate informatique a gagné la confiance de divers membres du personnel, il peut tromper les informations de connexion de n'importe qui dans l'entreprise. Avec beaucoup de confiance et une connaissance de la manière dont les gens travaillent ensemble dans une entreprise, un escroc peut mêmevoler de grosses sommes d'argentdepuis une entreprise sans même avoir à se connecter au système ; les commandes de faux virements peuvent être données par téléphone. Ce ciblage du personnel clé d'une entreprise est appelé pêche à la baleine .
Stratégies d'attaque
Les pirates ont appris à utiliser le phishing, le spear phishing, le doxxing et le whaling pour contourner les pare-feu et les logiciels antivirus. Si un pirate informatique possède le mot de passe administrateur, il peutinstaller des logiciels, configurer des comptes d'utilisateurs et supprimer les processus de sécuritéet accédez sans entrave à l’ensemble du réseau, à ses équipements, serveurs, bases de données et applications.
Ces nouvelles stratégies d'attaque sont devenues si courantes que les administrateurs de sécurité des réseaux d'entreprise doivent planifier des défenses qui supposer que les mesures de sécurité des limites des systèmes ont été compromises .
Ces dernières années, lemenace persistante avancée(APTE) est devenue une stratégie courante pour les pirates. Dans ce scénario,un hacker peut passer des années à accéder au réseau d'une entreprise, accédant aux données à volonté, utilisant les ressources de l’entreprise pour exécuter des VPN de couverture via la passerelle de l’entreprise. Le pirate informatique peut même utiliser les serveurs de l’entreprise pour des activités intensives telles que le minage de cryptomonnaies.
ou plus tard, les APT ne sont pas détectées carle pirate informatique est dans le système en tant qu'utilisateur autoriséet il s'assure également de supprimer tous les enregistrements de journaux montrant son activité malveillante. Ces mesures signifient que même lorsque l’intrusion est détectée, il peut être impossible de retrouver et de poursuivre l’intrus.
Systèmes de détection d'intrusion
Un élément essentiel des systèmes de prévention des intrusions est le Système de détection d'intrusion (IDS). Un IDS est conçu pour rechercher une activité inhabituelle. Certaines méthodologies de détection imitent les stratégies utilisées par les pare-feu et les logiciels antivirus. Ceux-ci sont appelés détection basée sur les signatures méthodes. Ils recherchent des modèles dans les données pour repérer les indicateurs connus d’activité d’intrus.
Une deuxième méthode IDS est appeléedétection basée sur les anomalies. Dans cette stratégie, le logiciel de surveillance recherche les activités inhabituelles qui soit ne correspondent pas au modèle logique du comportement de l'utilisateur ou du logiciel, soit qui n'ont pas de sens lorsqu'elles sont examinées dans le contexte des tâches attendues d'un utilisateur particulier. Par exemple, vous ne vous attendriez pas à voir un utilisateur du service du personnel connecté pour modifier la configuration d’un périphérique réseau.
Un intrus ne doit pas nécessairement être un étranger. Vous pouvez être victime d'une intrusion dans des zones de votre réseau par des employés explorant au-delà des installations auxquelles ils sont censés avoir besoin d'accéder. Un autre problème réside dans le fait que les employés exploitent leur accès autorisé aux données et aux installations afin de les détruire ou de les voler.
Prévention des intrusions
Les systèmes de prévention des intrusions fonctionnent selon la maxime «Mieux vaut tard que jamais.» Idéalement, vous ne voudriez pas qu’un tiers obtienne un accès non autorisé à votre système. Cependant, comme expliqué ci-dessus, le monde actuel n’est pas parfait et les pirates informatiques peuvent exploiter de nombreux inconvénients pour inciter les utilisateurs autorisés à divulguer leurs informations d’identification.
Plus précisément, les systèmes de prévention des intrusions sontextensions aux systèmes de détection d'intrusion. Les IPS agissent une fois qu’une activité suspecte a été identifiée. Ainsi, il se peut que l’intégrité de votre système ait déjà été endommagée au moment où l’intrusion a été repérée.
L'IPS est capable d'effectuer des actions pour arrêter la menace. Ces actions comprennent :
- Restauration des fichiers journaux à partir du stockage
- Suspendre les comptes d'utilisateurs
- Bloquer les adresses IP
- Processus de mise à mort
- Arrêt des systèmes
- Démarrage des processus
- Mise à jour des paramètres du pare-feu
- Alerter, enregistrer et signaler les activités suspectes
La responsabilité des tâches administratives qui rendent possibles bon nombre de ces actions n’est pas toujours claire. Par exemple, la protection des fichiers journaux par cryptage et la sauvegarde des fichiers journaux afin qu'ils puissent être restaurés après falsification sont deux activités de protection contre les menaces qui sont généralement définies comme des tâches du système de détection d'intrusion.
Limites des systèmes de prévention des intrusions
Il existe de nombreux points de faiblesse potentiels dans tout système informatique, mais un IPS, bien que très efficace pour bloquer les intrus, estpas conçu pour éliminer toutes les menaces potentielles. Par exemple, un IPS typique n'inclut pas la gestion des correctifs logiciels ni le contrôle de la configuration des périphériques réseau. L’IPS ne gérera pas les politiques d’accès des utilisateurs et n’empêchera pas les employés de copier les documents de l’entreprise.
Les IDS et les IPS ne permettent de remédier aux menaces qu'une fois qu'un intrus a déjà commencé ses activités sur un réseau. Cependant, ces systèmes doivent être installés pour constituer un élément d'une série de mesures de sécurité du réseau visant à protéger les informations et les ressources.
Les meilleurs systèmes de prévention des intrusions
Il existe actuellement un nombre remarquablement important d’outils IPS disponibles.Beaucoup d'entre eux sont gratuits. Cependant, il vous faudrait beaucoup de temps pour étudier et essayer tous les IPS du marché. C'est pourquoi nous avons élaboré ce guide des systèmes de prévention des intrusions.
Notre méthodologie de sélection d'un outil IPS
Nous avons examiné le marché des IPS et analysé les outils en fonction des critères suivants :
- Procédures pour détecter les inconvénients liés aux e-mails, tels que le phishing
- Étapes automatisées d’atténuation des attaques
- La capacité d’interfacer avec d’autres systèmes de sécurité informatique
- Paramètres permettant à l'utilisateur d'autoriser une réponse automatisée
- Stockage des données pour l'analyse historique et outils analytiques dans le tableau de bord
- Protection contre les attaques pour les propres processus et journaux de l'IPS
- Une garantie gratuite, démo, essai ou remboursement
- Le rapport qualité prix
1. Surveillance des menaces en temps réel Datadog (ESSAI GRATUIT)
Surveillance des menaces en temps réel par Datadogfait partie de son système de surveillance du réseau qui comprend une plateforme intégrée de détection des menaces . Datadog est un service basé sur le cloud fourni sous forme de modules pour couvrir la surveillance du réseau et des appareils, la surveillance des applications et la surveillance des performances Web.
Principales caractéristiques:
- Basé sur le cloud
- Surveillance des menaces réseau
- Gestion de la posture de sécurité du cloud
- Sécurité des charges de travail cloud
Les fonctionnalités de sécurité du moniteur de trafic réseau sont basées sur Règles de détection des menaces . Celles-ci sont fournies, mais il est possible de créer de nouvelles règles. Ils établissent un modèle de trafic que le système surveille et si l'une des combinaisons d'événements décrites par une règle est repérée, le service déclenche une alerte. Le service comprend également Règles de sécurité , qui sont similaires aux règles de détection des menaces, mais elles spécifient des recherches dans plusieurs sources de données différentes.
Avantages:
- Suivi d'activité en direct sur les réseaux et les liens Internet
- Outils analytiques pour l’analyse manuelle et l’identification des menaces
- Un menu d'options de sécurité cloud
- Protéger les systèmes sur site et cloud
- Chasse aux menaces unifiée
- Adaptation pour la conformité aux normes
Les inconvénients:
- Un ensemble de services plutôt qu’un seul produit
Le service de surveillance de la sécurité est un complément aux modules standard de surveillance de l'infrastructure ou de surveillance des performances du réseau de Datadog et son prix est facturé par Go de données analysées. Datadog propose unEssai gratuit de 14 joursdu service de Surveillance de la Sécurité.
LE CHOIX DES ÉDITEURS
La surveillance des menaces en temps réel de Datadog est notre choix n°1pour une solution IPS car elle vous permet de configurer des politiques de sécurité multiplateformes, de sorte que ses procédures de prévention des pertes de données et de détection des menaces ne bloqueront pas vos utilisateurs qui ont besoin d'accéder à des ressources hors site. La plateforme Datadog est capable de tracer une frontière invisible autour des ressources et des utilisateurs dispersés pour créer un espace de surveillance unifié. Cet environnement virtuel peut ensuite être suivi à la recherche de menaces à l'intégrité et à la confidentialité des données grâce à des techniques basées sur SIEM qui incluent des réponses automatisées pour maintenir votre entreprise en conformité avec les normes qu'elle doit suivre. Cet outil est flexible et extensible avec des options pour intégrer d'autres modules, tels qu'un APM et un moniteur réseau pour mettre en œuvre une surveillance unifiée des performances et de la sécurité.
Télécharger:Commencez un essai GRATUIT de 14 jours
Site officiel:https://www.datadoghq.com/threat-monitoring/
TOI:Basé sur le cloud
2. Gestionnaire d'événements de sécurité SolarWinds(ESSAI GRATUIT)
LeGestionnaire d’événements de sécurité SolarWindscontrôle l'accès aux fichiers journaux, comme son nom l'indique. Cependant, l'outil dispose également de capacités de surveillance du réseau. Le progiciel n'inclut pas de fonction de surveillance du réseau, mais vous pouvez ajouter cette fonctionnalité en utilisant l'outil gratuit Snort pour la collecte de données réseau. Cette configuration vous offre deux perspectives sur l'intrusion. Il existe deux catégories de stratégies de détection utilisées par les IDS :basé sur le réseau et basé sur l'hôte.
Principales caractéristiques:
- UN VOUS
- Serveur de journaux et gestionnaire de fichiers journaux
- Introduire des données réseau
- Règles de corrélation d'événements
- Réponses actives pour la remédiation aux menaces
Un système de détection d'intrusion basé sur l'hôte examine les enregistrements contenus dans les fichiers journaux ; le système basé sur le réseau détecte les événements dans les données en direct.
Les instructions permettant de détecter les signes d'intrusion sont incluses dans le progiciel SolarWinds : elles sont appelées règles de corrélation d'événements. Vous pouvez choisir de quitter le système pour simplement détecter les intrusions et bloquer les menaces manuellement. Vous pouvez également activer les fonctions IPS de SolarWinds Security Event Manager pour que la correction des menaces soit effectuée automatiquement.
La section IPS de SolarWinds Security Event Manager implémente des actions lorsque des menaces sont détectées. Ces flux de travail sont appelésRéponses actives. Une réponse peut être liée à une alerte spécifique. Par exemple, l'outil peut écrire dans les tables du pare-feu pour bloquer l'accès réseau à une adresse IP identifiée comme effectuant des actes suspects sur le réseau. Vous pouvez également suspendre des comptes d'utilisateurs, arrêter ou démarrer des processus et arrêter le matériel ou l'ensemble du système.
Le SolarWinds Security Event Manager ne peut être installé que surServeur Windows. Cependant, ses sources de données ne se limitent pas aux journaux Windows : il peut également recueillir des informations sur les menaces à partir deUnixetLinuxsystèmes connectés aux systèmes Windows hôtes via le réseau.
Avantages:
- Recherches de journaux pour la détection d'événements
- Collecte les événements Windows, Syslog et les journaux d'applications
- Recherches automatisées de détection des menaces
- Correction automatisée des menaces
- Analyses en direct et audit à la demande
Les inconvénients:
- Pas de version SaaS
Tu peux recevoirun essai gratuit de 30 joursde laGestionnaire d’événements de sécurité SolarWindspour le tester par vous-même.
Gestionnaire d’événements de sécurité SolarWindsest livré avec des centaines de règles de corrélation lors de l'installation qui vous alertent de tout comportement suspect en temps réel. Il est assez facile de mettre en place de nouvelles règles grâce à la normalisation des données de journal. Nous apprécions particulièrement le nouveau tableau de bord qui vous donne une place au premier rang lorsqu'il s'agit d'identifier les vulnérabilités potentielles du réseau.
Télécharger:Obtenez un essai GRATUIT de 30 jours
Site officiel:solarwinds.com/security-event-manager
TOI:Windows 10, Windows Server 2012 et versions ultérieures, basé sur le cloud : hyperviseur, AWS et MS Azure
3. CrowdStrike Falcon XDR (ESSAI GRATUIT)
CrowdStrike Falcon XDR est un système de détection et de réponse des points de terminaison avec une interaction supplémentaire avec des outils de sécurité tiers. Le système utilise orchestration, automatisation et réponse de la sécurité (SOAR) pour améliorer à la fois la chasse aux menaces et l’atténuation des menaces.
Principales caractéristiques:
- Système hybride
- Coordonne les outils de sécurité sur site
- Orchestre les réponses aux menaces
Faucon CrowdStrike est une plate-forme cloud de modules de sécurité et le XDR s'appuie sur quelques autres produits du système SaaS. Le premier d’entre eux est un système de protection des points finaux appelé CrowdStrike Falcon Empêcher – un antivirus de nouvelle génération. L’outil Prevent s’installe sur chaque point de terminaison. Il existe des versions de ce système pour les fenêtres , macOS , et Linux . Ce système est capable de continuer à protéger les points finaux même lorsque le réseau est en panne.
La couche suivante de la solution XDR est Aperçu du faucon . Il s'agit d'un système de détection et de réponse des points finaux (EDR) qui coordonne l'activité de chaque installation Falcon Prevent dans l'entreprise. Cela donne une vue à l’échelle du système et crée un réseau privé de renseignement sur les menaces. Le module cloud de Falcon Insight reçoit les données d'activité de chaque instance Falcon Prevent, regroupe ces flux et analyse indicateurs de compromis (IoC). Si une menace est détectée, Insight renvoie des instructions de remédiation aux unités Prevent.
Avantages:
- Détection et réponse des points de terminaison avec fonctionnalités supplémentaires
- Orchestration, automatisation et réponse de la sécurité
- La protection des points finaux se poursuit si l'appareil est isolé du réseau
Les inconvénients:
- Nécessite que Falcon PRevent soit installé sur chaque point de terminaison
Faucon XDR ajoute SOAR, ce qui signifie qu'il peut collecter des données d'événements provenant d'outils tiers et d'appareils non protégés, tels que des commutateurs et des routeurs qui ne disposent pas d'un service Falcon Prevent disponible. Le système est également capable d'envoyer des instructions à des produits non Falcon, tels que des pare-feu. Commencer unEssai gratuit de 15 jours.
CrowdStrike Falcon XDR Commencez un essai GRATUIT de 15 jours
4. Splunk
Splunk est un analyseur de trafic réseau doté de capacités de détection d'intrusion et IPS.
Principales caractéristiques:
- Outil de traitement de données flexible
- Option SIEM
- Réponses automatisées
Il existe quatre éditions de Splunk :
- Splunk gratuit
- Splunk Light (essai gratuit de 30 jours)
- Splunk Enterprise (essai gratuit de 60 jours)
- Splunk Cloud (essai gratuit de 15 jours)
Toutes les versions, à l'exception de Splunk Cloud, s'exécutent surles fenêtresetLinux. Splunk Cloud est disponible sur unLogiciel en tant que service(SaaS) sur Internet. Les fonctions IPS de Splunk ne sont incluses que dans les éditions Enterprise et Cloud. Le système de détection fonctionne à la fois sur le trafic réseau et sur les fichiers journaux. La méthode de détection recherche les anomalies, qui sont des modèles de comportement inattendu.
Avantages:
- Convient à une gamme de fonctions d'analyse de données
- Module spécialisé de chasse aux menaces
- Choix de sur site ou SaaS
Les inconvénients:
- La version gratuite ne dure désormais que 60 jours
Un niveau de sécurité plus élevé peut être obtenu en optant pour le module complémentaire Splunk Enterprise Security. Ceci est disponible sur un essai gratuit de sept jours . Ce module améliore les règles de détection des anomalies avec l'IA et inclut davantage d'actions exécutables pour la remédiation des intrusions.
5. Sagan
Sagan est un système logiciel gratuit de détection d'intrusion qui a des capacités d'exécution de script. La possibilité de connecter les actions aux alertes en fait un IPS.
Principales caractéristiques:
- Système de détection d'intrusion basé sur l'hôte
- Utilisation gratuite
- Réponses automatisées
Les principales méthodes de détection de Sagan impliquent la surveillance des fichiers journaux, ce qui signifie qu'il s'agit d'un système de détection d'intrusion basé sur l'hôte. Si vous installez également Snort et transmettez la sortie de ce renifleur de paquets dans Sagan, vous bénéficierez également de fonctionnalités de détection basées sur le réseau à partir de cet outil. Alternativement, vous pouvez alimenter les données réseau collectées avec être (anciennement Bro) ou Blanche dans l'outil. Sagan peut également échanger des données avec d'autres outils compatibles Snort, notamment Snorby , Squile , anal , et BASE .
Avantages:
- Un forfait gratuit sur site
- Se combine avec les IDS basés sur le réseau
- Système à bûches et très respecté
Les inconvénients:
- Nécessite des compétences techniques pour la mise en place
Sagan s'installe surUnix,Linux, etMacOS. Cependant, il est également capable de récupérer les messages d'événements des appareils connectés.les fenêtressystèmes. Les fonctionnalités supplémentaires incluent le traçage de l'emplacement des adresses IP et le traitement distribué.
6. OSSEC
OSSECest un système IPS très populaire. Ses méthodologies de détection sont basées sur l'examen des fichiers journaux, ce qui en fait un système de détection d'intrusion basé sur l'hôte . Le nom de cet outil signifie « Sécurité HIDS open source » (malgré l’absence d’un « H » ici).
Principales caractéristiques:
- Utilisation gratuite
- Très apprécié
- Basé sur l'hôte
Le fait qu’il s’agisse d’un projet open source est formidable car cela signifie également que le logiciel est libre d’utilisation. Bien qu'il soit open source, OSSEC appartient en réalité à une entreprise :Tendance Micro. L’inconvénient de l’utilisation de logiciels gratuits est que vous ne bénéficiez pas d’assistance. L'outil est largement utilisé et la communauté des utilisateurs d'OSSEC est un endroit idéal pour obtenir des conseils et astuces sur l'utilisation du système. Cependant, si vous ne voulez pas risquer de vous fier à des conseils amateurs pour les logiciels de votre entreprise, vous pouvez acheterun package de support professionnelde Trend Micro.
Les règles de détection de l’OSSEC sont appelées ‘ Stratégies .’ Vous pouvez rédiger vos propres politiques de surveillance ou en obtenir des packs gratuitement auprès de la communauté des utilisateurs. Il est également possible de spécifier des actions qui doivent être mises en œuvre automatiquement lorsque des avertissements spécifiques surviennent.
Avantages:
- Grande communauté d'utilisateurs
- Règles de détection disponibles gratuitement
- Personnalisable avec un langage de règles de détection
Les inconvénients:
- Un package d’assistance professionnelle est disponible moyennant des frais
L'OSSEC continue de fonctionnerUnix,Linux,MacOS, etles fenêtres. Il n'y a pas de frontal pour cet outil, mais vous pouvez l'interfacer avecKibanaouJournal gris. Visite leur page de téléchargements .
Voir également: Les meilleurs outils HIDS
7. Ouvrez WIPS-NG
Si vous avez spécifiquement besoin d'un IPS pour les systèmes sans fil, vous devriez essayer Open WIPS-NG. C'est unoutil gratuitqui détectera les intrusions et vous permettra de mettre en place des réponses automatiques.
Principales caractéristiques:
- Outil gratuit
- Scanne les canaux sans fil
- Fournit une détection d’intrusion
Open WIPS-NG est un projet open source . Le logiciel ne peut être exécuté que sur Linux . L'élément clé de l'outil est un renifleur de paquets sans fil . L'élément renifleur est un module capteur, qui fonctionne à la fois comme un collecteur de données et un transmetteur de solutions pour bloquer les intrusions . C'est un outil très compétent car il a été conçu par les mêmes personnes qui ont écrit Langue Aircrack , qui est bien connu comme outil de piratage.
Avantages:
- Écrit par les créateurs d'un outil de hacker
- Détecte les intrus
- Facilité pour repousser les intrus
Les inconvénients:
- Système de ligne de commande qui fonctionne uniquement sous Linux
Les autres éléments de l'outil sont un programme serveur, qui exécute les règles de détection, et une interface. Vous pouvez voir les informations sur le réseau wifi et les problèmes potentiels sur le tableau de bord. Vous pouvez également définir des actions qui se déclenchent automatiquement lorsqu'une intrusion est détectée.
8. Échec2Ban
Fail2Ban est une option IPS légère. Ceoutil gratuitdétecte une intrusion parméthodes basées sur l'hôte, ce qui signifie qu'il examine les fichiers journaux à la recherche de signes d'activités non autorisées.
Principales caractéristiques:
- Outil gratuit
- Détection basée sur l'hôte
- Bloque les adresses IP
Parmi les réponses automatisées que l'outil peut mettre en œuvre figurentune interdiction d'adresse IP. Ces interdictions ne durent généralement que quelques minutes, mais vous pouvez ajuster la période de blocage dans le tableau de bord de l'utilitaire. Les règles de détection sont appelées 'filtres' et vous pouvez associerune action de réparationavec chacun d'eux. Cette combinaison d'un filtre et d'une action est appelée un «prison'.
Avantages:
- Analyse rapide des fichiers journaux
- Créez une prison en combinant des filtres avec des actions
- Fonctionne sous Linux, macOS et Unix
Les inconvénients:
- Pas d'interface graphique
Fail2Ban peut être installé surUnix,Linux, etMacOS.
9. Zeek
être(anciennement appelé Bro jusqu'en 2019) est un autre excellentIPS gratuit. Ce logiciel s'installe surLinux,Unix, etMacOS. Zeek utiliseméthodes de détection d'intrusion basées sur le réseau. Tout en surveillant le réseau à la recherche d'activités malveillantes, Zeek vous donne également des statistiques sur les performances de vos appareils réseau etanalyse du trafic.
Principales caractéristiques:
- Outil gratuit
- Analyse le trafic réseau
- Sélectionne et stocke les paquets suspects
Les règles de détection de Zeek fonctionnent au Couche d'application , ce qui signifie qu'il est capable de détecter les signatures sur les paquets réseau. Zeek dispose également d'une base de données de lié à une anomalie règles de détection. La phase de détection du travail de Zeek est menée par le « moteur d'événement .’ Cela écrit les paquets et les événements suspects dans un fichier. Scripts de stratégie recherchez dans les enregistrements stockés des signes d’activité d’intrus. Vous pouvez rédiger vos propres scripts de politique, mais ils sont également inclus avec le logiciel Zeek.
Avantages:
- Peut fonctionner comme un moniteur de réseau ainsi que comme un package de sécurité
- Protection de la configuration des appareils
- Détecte les tentatives d'analyse des ports
Les inconvénients:
- Pas de support professionnel
En plus d'examiner le trafic réseau,Zeek gardera un œil sur les configurations des appareils. Les anomalies du réseau et le comportement irrégulier des périphériques réseau sont suivis grâce à la surveillance dePièges SNMP. En plus du trafic réseau régulier, Zeek prête attention à l'activité HTTP, DNS et FTP. L'outil vous alertera également s'il détecte l'analyse des ports, qui est une méthode de piratage utilisée pour obtenir un accès non autorisé à un réseau.
Choisir un outil de système de prévention des intrusions
Lorsque vous lirez les définitions des outils IPS de notre liste, votre première tâche sera deaffinez votre sélectionselon le système d'exploitation du serveur sur lequel vous comptez installer votre logiciel de sécurité.
Souviens-toi,ces solutions ne remplacent pas les pare-feu et les logiciels antivirus– ils assurent une protection dans les zones que ces méthodes traditionnelles de sécurité des systèmes ne peuvent pas surveiller.
Votre budget sera un autre facteur décisif. La plupart des outils de cette liste sont gratuits.
Cependant, les risques d'être poursuivisi des pirates informatiques mettent la main sur les données des clients, des fournisseurs et des employés stockées dans le système informatique de votre entreprise, fera perdre beaucoup d’argent à votre entreprise. Dans ce contexte, le coût d’un système de prévention des intrusions n’est pas si élevé.
Faites un audit des compétences que vous possédez sur place. Si vous ne disposez pas de personnel capable de gérer la tâche technique de configuration des règles de détection, vous feriez probablement mieux de sélectionner un outil bénéficiant d’un support professionnel.
Gérez-vous actuellement un système de prévention des intrusions ? Lequel utilisez-vous ? Envisagez-vous de passer à un autre IPS ? Laissez un commentaire dans lecommentairesci-dessous pour partager votre expérience avec la communauté.
FAQ sur les outils logiciels IPS
En quoi un IPS est-il différent d'un pare-feu ?
Un pare-feu se trouve à la limite d'un système – qu'il s'agisse d'un réseau ou d'un ordinateur individuel – tandis qu'un IPS examine les paquets qui circulent sur le réseau. L'une des stratégies de blocage que peut mettre en œuvre un IPS consiste à mettre à jour les règles d'un pare-feu pour bloquer l'accès à une adresse IP suspecte.
Quel est le meilleur, IDS ou IPS ?
Un système de détection d'intrusion recherche un comportement anormal et avertit l'administrateur réseau lorsqu'une activité suspecte est détectée. Un système de prévention des intrusions déclenche automatiquement des workflows de remédiation pour bloquer les activités suspectes. La décision quant à ce qui est le meilleur dépend des préférences personnelles. Voulez-vous avoir le choix de décider d’agir ou voulez-vous que cette décision soit prise à votre place ?
Un IPS peut-il empêcher une attaque DDoS ?
Les services IPS ne sont pas adaptés à la défense contre les attaques DDoS. En effet, une stratégie DDoS n’arrive jamais sur le réseau où opèrent les IPS. Une attaque DDoS envoie un flot de demandes de connexion mal formées sans aucune intention d’établir une connexion. Les services Edge constituent un mécanisme plus approprié pour absorber le trafic DDoS.